Schwachstelle in libssh erlaubt Anmeldung ohne Zugangsdaten

Wer die SSH-Programmbibliothek libssh auf Serverseite nutzt, sollte diese zügig updaten. Eine kritische Sicherheitslücke erlaubt Angreifern, den Authentifizierungsprozesses zu umgehen, sprich: den Serverzugriff ohne Zugangsdaten. Laut Security Advisory des Entwickler-Teams müssten sie dem Server dazu eine SSH2_MSG_USERAUTH_SUCCESS- statt der von diesem erwarteten SSH2_MSG_USERAUTH_REQUEST-Nachricht schicken.

Die libssh-Entwickler haben die Schwachstelle CVE-2018-10933, die in sämtlichen Programmbibliotheksversionen ab einschließlich 0.6 steckt, geschlossen. Die gefixten Versionen 0.8.4 und 0.7.6 stehen zum Download bereit.

2018-10-17T14:01:40+00:00